Personopplysningene om hele den ecuadorianske befolkningen kunne ha blitt lekket
Noen datalekkasjer er større og mer effektive enn andre. Men hvordan klassifiserer vi dem nøyaktig? Når kan en datasikkerhetshendelse anses som et enormt problem, og når er det ikke så stort avtale? Skalafølelsen har vært noe uskarp.
Hvis for eksempel 50 000 mennesker mister dataene sine, kan du tenke at dette er et betydelig brudd. Når du innser at milliarder av brukere samhandler med hundretusener av online og offline tjenester hver dag, begynner du imidlertid å se at det bare er en dråpe i havet. Når befolkningen i et helt land er berørt, kan imidlertid bruddet aldri anses som lite.
Table of Contents
En usikret Elasticsearch-server eksponerer personopplysningene til millioner av ecuadorianere
Nok en gang ble den lekke informasjonen funnet av vpnMentors team av forskere ledet av Noam Rotem og Ran Locar. I løpet av de siste månedene har de vært engasjert i et nettkartleggingsprosjekt som har resultert i oppdagelsen av dusinvis av dårlig beskyttede databaser som har lekket sensitiv informasjon i årevis. For et par uker siden fant de den neste i en veldig lang rekke Elasticsearch-databaser som sto overfor internett uten noen form for beskyttelse, men de skjønte raskt at dette ikke kommer til å bli en vanlig datalekkasje.
En rask analyse av dataene avdekket at alle individer rammet innbyggere i Ecuador. Overraskende nok hadde Elasticsearch-serveren 20,8 millioner poster - 4,2 millioner mer enn det søramerikanske landets nåværende befolkning. Forskerne innså at hver eneste ecuador, så vel som ganske mange avdøde individer, kunne være der. For å få en bedre forståelse av omfanget av hendelsen, kom Rotem og Locar i kontakt med ZDNets Catalin Cimpanu som hjalp dem å løpe gjennom databasen og finne ut hva som skjer.
Det var ikke så vanskelig å bekrefte legitimiteten til dataene. ZDNets reporter hadde absolutt ingen problemer med å finne poster over Lenín Moreno, Ecuadors president, og han fant også personopplysningene til Julian Assange, som, som du sikkert vet, ble gitt asyl av det søramerikanske lands britiske ambassade. Enkelheten med informasjonen var tilgjengelig var skummel nok, men da de så hvor mye data som var på Elasticsearch-serveren, var Rotem, Locar og Cimpanu skrekkelig livredde.
Den lekker serveren eksponerte mange sensitive data
Cimpanu delte de lekkede dataene i to separate grupper - informasjon samlet inn av Ecuadors sivile register og informasjon samlet inn av private virksomheter. Det burde sannsynligvis ikke være for overraskende at sivile registeret har ganske mye informasjon om ecuadorianske borgere. Dette inkluderer fulle navn, fødselsdato, fødested, telefonnummer, adresser og informasjon om folks sivilstand, arbeidsplass og utdanning. I tillegg til alt dette, inkluderte databasen det Ecuadorians kaller cedulaer. En cedula er et fødselsnummer, og det tilsvarer i utgangspunktet USAs personnummer.
Hvis du er en identitetstyv, ville denne typen data være ting av drømmer. Den lekker serveren holdt imidlertid mye mer enn det. Det var tilstrekkelig med informasjon om folks familiemedlemmer til å rekonstruere i utgangspunktet hvert eneste slektstre i landet, inkludert personopplysningene til nærmere 7 millioner barn. Nok en gang snakker vi om navn, hjemmeadresser, fødesteder og sedler.
Lekkasjen var allerede i ferd med å bli ganske fryktelig, og Cimpanu, Locar og Rotem hadde ikke en gang gått gjennom dataene som er samlet inn av private organisasjoner.
Navnene på flere privateide selskaper var til stede i databasen, men de som skilte seg ut fra mengden var Banco del Instituto Ecuatoriano de Seguridad Social eller BIESS, en offentlig bank, og Asociación de Empresas Automotrices del Ecuador eller AEADE, en forening av selskaper som jobber i bilindustrien.
Det var rundt 7 millioner BIESS-poster som inneholder data om folks økonomiske velvære, inkludert bankkontostatus, bankkontosaldo, kredittype og jobbdetaljer. AEADEs poster eksponerte informasjonen til om lag 2,5 millioner bileiere. Dette inkluderer bilens merke og modell, lisensplater, registreringsdatoen osv. Par disse detaljene med resten av den lekke informasjonen, og du vil se at sikkerheten til både bilen og dens eier kan bli satt under alvorlig Fare.
Hvem er ansvarlig for lekkasjen?
Selv om den inneholdt informasjon om folk som ikke lenger er blant oss, var dette ikke en glemt gammel database som ble samlet sammen for år siden. Noe av informasjonen i den var faktisk ganske nylig, noe som medførte at det var enda viktigere å ta den ned så raskt som mulig.
Etter litt graving fant Rotem, Locar og Cimpanu ut at den feilkonfigurerte Elasticsearch-serveren tilhørte et analyseselskap kalt Novaestrat. Det de ikke klarte å lære, var hvordan Novaestrat fikk hendene på dataene, og om de hadde tillatelse til det, fordi de flere forsøkene de gjorde for å kontakte virksomheten, ikke lyktes. Heldigvis var Ecuadors Computer Emergency Response Team (CERT) mye mer nyttig, og etter at den ble involvert, ble databasen tatt frakoblet.
På dette tidspunktet er det umulig å si om de lekkede dataene har blitt tilgang til av andre enn vpnMentors forskere og ZDNets reporter. Ecuadorianske borgere kan bare håpe at nettkriminellene var for sent til partiet. Tatt i betraktning nivået på detaljer som ble utsatt, bør deres prioritet imidlertid være å holde øynene skrellet for tegn på misbruk av informasjonen.
